在發(fā)現(xiàn)SolarWinds數(shù)據(jù)泄露事故后，大家都很混亂、困惑。

成都創(chuàng)新互聯(lián)公司擁有十多年成都網(wǎng)站建設工作經(jīng)驗,為各大企業(yè)提供成都網(wǎng)站建設、成都網(wǎng)站制作服務，對于網(wǎng)頁設計、PC網(wǎng)站建設（電腦版網(wǎng)站建設）、重慶APP開發(fā)公司、wap網(wǎng)站建設（手機版網(wǎng)站建設）、程序開發(fā)、網(wǎng)站優(yōu)化（SEO優(yōu)化）、微網(wǎng)站、域名注冊等，憑借多年來在互聯(lián)網(wǎng)的打拼，我們在互聯(lián)網(wǎng)網(wǎng)站建設行業(yè)積累了很多網(wǎng)站制作、網(wǎng)站設計、網(wǎng)絡營銷經(jīng)驗，集策劃、開發(fā)、設計、營銷、管理等網(wǎng)站化運作于一體，具備承接各種規(guī)模類型的網(wǎng)站建設項目的能力。

在上周四的RSA網(wǎng)絡會議中，CrowdStrike、畢馬威、DLA Piper以及SolarWinds公司的高管們談到了他們對這家大型IT軟件供應商2020年供應鏈攻擊事件的早期響應工作。這些人是最早出現(xiàn)在攻擊現(xiàn)場的人，原本該攻擊可能成為影響數(shù)萬家公司的歷史性攻擊系列事件。

安全供應商FireEye公司最早發(fā)現(xiàn)民族國家攻擊者已經(jīng)破壞其網(wǎng)絡并訪問敏感信息，包括紅隊工具。該公司于12月9日披露了該數(shù)據(jù)泄露事故，隨后追蹤到SolarWinds的Orion軟件中的后門漏洞。

FireEye于12月12日將其發(fā)現(xiàn)告知SolarWinds。SolarWinds公司安全副總裁Timothy Brown表示，最初的幾個小時進展迅速，因為FireEye向SolarWinds提供了攻擊的初步證據(jù)，并且該供應商很快確認其Orion監(jiān)控軟件的副本中被植入惡意代碼，允許攻擊者監(jiān)視用戶。

Brown說：“我們不需要做很多側面研究來確定這是否發(fā)生。然后我們做了一些分析以確定它何時發(fā)生，我們發(fā)現(xiàn)三個版本受到影響。那時，我們知道，由于這是內(nèi)部發(fā)生的事情，我們真的必須聚集正確的人以進行調(diào)查。”

DLA Piper律師事務所合伙人Ronald Plesco是SolarWinds的數(shù)據(jù)泄露事故指導，他必須迅速組建事件響應專家團隊。他表示，除了需要快速響應并確定數(shù)據(jù)泄露事故來源外，事件響應團隊還有另一個“計時時鐘”，因為FireEye想在周日公開披露他們的調(diào)查結果。Plesco稱：“讓所有這些團隊就位，分工合作，以及從項目管理的角度來看，誰將在早期做關鍵的事情。”

在CrowdStrike和畢馬威加入之后，事件響應團隊試圖確定被稱為“Sunburst”后門程序如何最終進入Orion。畢馬威董事總經(jīng)理David Cowen表示，這次攻擊的第一批罪魁禍首之一是放置在奇怪位置的虛擬機 (VM)。在仔細研究開發(fā)和編排服務器后，一位目光敏銳的開發(fā)人員注意到了該VM中的一些奇怪之處。

Cowen稱：“隨著我們繼續(xù)深入堆棧，其中一位開發(fā)人員說我們發(fā)現(xiàn)了這個關機的虛擬機，我們在那里發(fā)現(xiàn)了編譯好的惡意代碼。”

即使在發(fā)現(xiàn)罪魁禍首之后，要掌握插入的代碼以及誰將其放在那里也并非易事。

CrowdStrike公司情報部門高級副總裁dam Meyers說：“對手在其中投入了很多循環(huán)和技巧，使其難以理解。”

攻擊者使用的技巧之一就是簡單地掩蓋他們的母語。調(diào)查人員通常能夠歸因攻擊的方法是分析代碼中的簡單語言線索，例如使用西里爾文或中文進行評論引用。

然而，在這種情況下，SolarWinds入侵者沒有留下這樣的線索。調(diào)查人員發(fā)現(xiàn)，插入Orion的源代碼已經(jīng)刪除了任何會泄露作者身份的本地化內(nèi)容。

Meyers稱：“這有效地清洗了代碼。那時我突然意識到這是下一個級別操作安全性。”

最后，調(diào)查人員仔細研究了大約100 TB的數(shù)據(jù)，以生成有關攻擊的報告。

Brown指出：“這個攻擊有很多活動部件和很多零件。你意識到你需要讓團隊專注于正確的地方，執(zhí)行獨立但相關的行動。這種混亂得到控制，但有合適的人參與，你可以推動前行。”

標題名稱：SolarWinds響應團隊講述供應鏈攻擊的早期階段
網(wǎng)站路徑：http://chinadenli.net/article20/idsgco.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供微信小程序、靜態(tài)網(wǎng)站、搜索引擎優(yōu)化、營銷型網(wǎng)站建設、品牌網(wǎng)站制作、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)